3 Servidor web

Visió general

Aquesta secció conté les bones pràctiques per configurar el servidor web de manera segura.

Activació de Zabbix sota un directori root de l'URL

Afegiu l'equip virtual a la configuració d'Apache (/etc/httpd/conf/httpd.conf) i configureu la redirecció permanent per al document arrel a l'URL SSL de Zabbix. No oblideu substituir exemple.com pel nom real del servidor.

#Afegiu les línies:
       
       <VirtualHost *:*>
           ServerName exemple.cat
           Redirect permanent / https://exemple.cat
       </VirtualHost>

Reinicieu el servei Apache per aplicar les modificacions:

systemctl restart httpd.service

Activar HTTP Strict Transport Security (HSTS) al servidor web

Per protegir la interfície de Zabbix dels atacs de baixada de nivell de protocol, us recomanem que habiliteu la política HSTS al servidor web.

Per exemple, per habilitar la política HSTS per a la vostra interfície Zabbix a la configuració d'Apache:

1. Busqueu l'arxiu de configuració de l'equip virtual: - /etc/httpd/conf/httpd.confa sistemes basats en RHEL - /etc/apache2/sites-available/000-default.confa Debian/Ubuntu

2. Afegiu la següent directiva a l'arxiu de configuració del vostre equip virtual:

<VirtualHost *:*>
         Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

3. Reinicieu el servei Apache per aplicar els canvis:

# A sistemes basats en RHEL:
       systemctl restart httpd.service
       
       # A Debian/Ubuntu
           systemctl restart httpd.service

Aplicació de galetes de sessió segures i SameSite a Zabbix

Quan es configura Zabbix, és essencial aplicar els atributs segurs i SameSite per a les galetes de sessió per millorar la seguretat i evitar atacs de falsificació de peticions entre llocs (CSRF). Tanmateix, fer complir SameSite=Strict pot causar problemes en determinats escenaris, com ara:

• Ginys d'URL del tauler de control que mostren "usuari sense sessió iniciada" quan s'incorporen iframes del mateix domini.
• Els usuaris que accedeixen al tauler mitjançant HTTP en lloc d'HTTPS poden tindre problemes d'inici de sessió.
• Incapacitat per compartir URL amb seccions o amfitrions específiques del menú de Zabbix.

Per mitigar aquests problemes, els usuaris haurien de tenir una manera d'ajustar la política de SameSite.

1. Cookies segures

L'establiment de la marca segura garanteix que les galetes només es transmetin a través d'HTTPS, evitant l'exposició a les connexions sense xifrar.

Per habilitar les galetes segures a Zabbix, afegiu o modifiqueu la configuració següent a la configuració del servidor web:

Per a Apache:

La capçalera sempre edita Set-Cookie ^(.*)$ $1;Secure

Per a Nginx:

proxy_cookie_path / "/; Secure";

Assegureu-vos que s'accedeixi a la vostra interfície Zabbix mitjançant HTTPS; en cas contrari, no s'enviaran pas galetes amb l'asenyalador Segur.

2. Configuració de l'atribut SameSite

La configuració del servidor web també pot aplicar l'atribut SameSite:

Per a Apache:

<IfModule mod_headers.c>
           Capçalera on edició correcta Set-Cookie (.*) "$1; SameSite=Strict"
       </IfModule>

Per a Nginx (versió 1.19.3+):

proxy_cookie_flags ~ samesite=Strict; # Substituïu ~ per 'zbx_session' per a l'especificitat

Habilitació de la política de seguretat de contingut (CSP) al servidor web

Per protegir la interfície de Zabbix contra Cross Site Scripting (XSS), injecció de dades i atacs similars, us recomanem que activeu la Política de seguretat de contingut al servidor web. Per fer-ho, configureu el servidor web perquè retorni la capçalera HTTP.

Per habilitar CSP per a la vostra interfície Zabbix a la configuració d'Apache, seguiu aquests passos:

1. Localitzeu el fitxer de configuració del vostre host virtual:

• /etc/httpd/conf/httpd.conf a sistemes basats en RHEL
• /etc/apache2/sites-available/000-default.conf a Debian/Ubuntu

2. Afegiu la directiva següent al fitxer de configuració del vostre host virtual:

<VirtualHost *:*>
           Conjunt de capçaleres Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self'-feuri-inline';'; 'self';"
       </VirtualHost>

3. Reinicieu el servei Apache per aplicar els canvis:

# A sistemes basats en RHEL:
       systemctl restart httpd.service
       
       # A Debian/Ubuntu
       systemctl restart apache2.service

Desactivar l'exposició de la informació del servidor web

Per millorar la seguretat, es recomana desactivar totes les signatures del servidor web.

De manera predeterminada, el servidor web està exposant la signatura del programari:

La signatura es pot desactivar afegint els paràmetres següents al fitxer de configuració d'Apache:

ServerSignature off
       ServerTokens Prod

La signatura PHP (capçalera HTTP X-Powered-By) es pot desactivar canviant el fitxer de configuració php.ini (per defecte, la signatura és desactivada):

expose_php = Off

Cal reiniciar el servidor web perquè s'apliquin els canvis al fitxer de configuració.

Per obtindre més seguretat, podeu utilitzar l'eina mod_security amb Apache (paquet libapache2-mod-security2). Aquesta eina permet eliminar la signatura del servidor en lloc d'esborrar només la versió de la signatura del servidor. La signatura del servidor es pot canviar a qualsevol valor configurant "SecServerSignature" a qualsevol valor desitjat després d'instal·lar mod_security.

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com eliminar/canviar signatures de programari.

Desactivar les pàgines d'error predeterminades del servidor web

Per evitar l'exposició de la informació, es recomana desactivar les pàgines d'error predeterminades.

De manera predeterminada, un servidor web empra pàgines d'error integrades:

Aquestes pàgines d'error predeterminades s'han de substituir/esborrar. Per exemple, la directiva "ErrorDocument" es pot emprar per definir una pàgina/text d'error personalitzat per al servidor web Apache.

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com substituir/esborrar les pàgines d'error predeterminades.

Esborrar la pàgina de prova del servidor web

Per evitar l'exposició de la informació, es recomana esborrar la pàgina de prova del servidor web.

Per defecte, l'arrel web del servidor web Apache conté la pàgina de prova index.html:

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com esborrar les pàgines de prova predeterminades.

Establir la capçalera de resposta HTTP X-Frame-Options

De manera predeterminada, Zabbix és configurat amb el paràmetre de capçalera HTTP Emprar X-Frame-Options establert a SAMEORIGIN. Això vol dir que el contingut només es pot carregar en un marc que tingui el mateix origen que la pròpia pàgina.

Els elements d'interfície de Zabbix que extreuen contingut d'URL externs (és a dir, l'URL giny del tauler de control) mostren el contingut recuperat en un sandbox amb totes les restriccions de sandbox activades.

Aquests paràmetres milloren la seguretat de la interfície Zabbix i proporcionen protecció contra atacs XSS i clickjacking. Els usuaris superadministradors poden modificar l'iframe sandboxing i la capçalera de resposta HTTP X-Frame-Options segons calgui. Penseu acuradament els riscos i els beneficis abans de canviar la configuració predeterminada. No es recomana desactivar completament la sandbox o X-Frame-Options.

Amagar el fitxer amb la llista de mots de pas habituals

Per pujar la complexitat dels atacs de força bruta amb mots de pas, es recomana limitar l'accés al fitxer ui/data/top_passwords.txt. Aquest fitxer conté una llista dels mots de pas més comuns i específiques del context i impedeix que els usuaris estableixin aquests mots de pas (si el paràmetre Evitar mots de pas fàcils d'endevinar és habilitat a la política de mots de pas).

Per limitar l'accés al fitxer top_passwords.txt, modifiqueu la configuració del vostre servidor web.

A Apache, l'accés al fitxer es pot limitar mitjançant el fitxer .htaccess:

<Files "top_passwords.txt">
           Order Allow,Deny
           Deny from all
       </Files>

A NGINX, l'accés als fitxers es pot limitar mitjançant la directiva location:

location = /data/top_passwords.txt {
           deny all;
           return 404;
       }